Представители гражданского общества, журналисты, политики и учёные из Европейского союза (ЕС), США и Азии подвергаются атакам с использованием шпионского программного обеспечения (ПО), говорится в новом масштабном расследовании, проведённом Amnesty International. Атаки программы-шпиона Predator («Хищник») были направлены, среди прочего, против должностных лиц ООН, одного сенатора и одного конгрессмена США, главы Европейского парламента и президента Тайваня. Это расследование стало частью «Досье Predator» — проекта, реализованного совместно с журналистским объединением EIC (European Investigative Collaboration — Европейское расследовательское сотрудничество) при поддержке изданий Mediapart и Der Spiegel, которые глубоко освещали проблему.
С февраля по июнь 2023 года атакам через публичные посты в соцсетях X (ранее носившей название Twitter) и Facebook подверглись как минимум 50 аккаунтов, принадлежащих 27 физическим лицам и 23 организациям. Орудием киберслежки в их случае стало инвазивное шпионское ПО Predator, которое разрабатывалось и продавалось альянсом Intellexa. Этот альянс, который позиционирует себя как «базирующийся в ЕС и действующий по его законам», представляет собой сложную и часто меняющуюся группу компаний, которые разрабатывают и продают средства для слежки, включая программу-шпион Predator.
Predator — чрезвычайно инвазивное шпионское ПО. Это означает, что стоит ему попасть на устройство, оно получает неограниченный доступ к микрофону, камере и всем данным, таким как контакты, сообщения, фотографии, видеозаписи, причём пользователь остаётся в полном неведении. Независимый аудит подобного шпионского ПО сейчас невозможен, а его функционал не может быть ограничен лишь теми функциями, которые необходимы и соразмерны конкретному виду использования.
Predator — чрезвычайно инвазивное шпионское ПО. Это означает, что стоит ему попасть на устройство, оно получает неограниченный доступ к микрофону, камере и всем данным, таким как контакты, сообщения, фотографии, видеозаписи, причём пользователь остаётся в полном неведении
«Мы вновь видим, как мощные инструменты слежки применяются для осуществления вопиющих атак. На этот раз мишенью стали живущие в эмиграции журналисты, публичные деятели и должностные лица межправительственных организаций. Но не стоит заблуждаться: пострадали все мы, наше общество, удар нанесён по системе государственного управления, правам каждого человека», — сказала генеральный секретарь Amnesty International Аньес Калламар.
«Альянс Intellexa, европейские разработчики программы Predator и других продуктов для слежки ничего не предприняли, чтобы ограничить круг тех, кто может пользоваться этим шпионским ПО, и цели его применения. Вместо этого, они набивают карманы и игнорируют серьёзнейшие последствия для прав человека. После этого скандала, конечно, единственным эффективным ответом со стороны государств будет немедленный глобальный запрет на использование чрезвычайно инвазивного шпионского ПО», — добавила она.
В подробном докладе, опубликованном сегодня Лабораторией Amnesty International по вопросам безопасности, в числе тех, кто подвергся атаке (но необязательно был инфицирован), называются глава Европарламента Роберта Метсола, президент Тайваня Цай Инвэнь, американский конгрессмен Майкл Маккаул, сенатор США Джон Хувен, посол Германии в США Эмили Хабер и французский депутат Европарламента Пьер Карлескинд. Кроме того, были атакованы многие другие должностные лица, учёные и организации.
Вопиющая волна атак
Лаборатория Amnesty International по вопросам безопасности уже некоторое время занимается расследованием случаев применения мощного и чрезвычайно инвазивного шпионского ПО Predator, а также связью между ним и альянсом Intellexa.
Контролируемый атакующей стороной аккаунт в сети X (бывший Twitter) под названием @Joseph_Gordon16 поделился многими из выявленных атакующих ссылок, задачей которых было инфицировать объект атаки программой-шпионом Predator. Одной из первых мишеней этого аккаунта стал живущий в Берлине журналист Кхоа Ле Чунг, выходец из Вьетнама. Кхоа — главный редактор информационного сайта thoibao.de, который заблокирован во Вьетнаме. За его журналистскую деятельность ему с 2018 года угрожают убийством. Во Вьетнаме, где оказывается большое давление на СМИ, журналистов, блогеров и правозащитников зачастую запугиваниями заставляют молчать.
Контролируемый атакующей стороной аккаунт в сети X (бывший Twitter) под названием @Joseph_Gordon16 поделился многими из выявленных атакующих ссылок, задачей которых было инфицировать объект атаки программой-шпионом Predator
Хотя эта конкретная атака оказалась безуспешной, она имеет особое значение, потому что и сайт, и журналист находятся на территории ЕС, а все государства — члены ЕС обязаны контролировать продажу и передачу технологий слежки.
«Нельзя продавать их таким странам, как Вьетнам. К тому же это вредит свободе прессы и свободе выражения мнений для людей здесь, в Германии», — сказал Кхоа в разговоре с Amnesty International.
Как было установлено в ходе расследования, аккаунт @Joseph_Gordon16 был тесно связан с Вьетнамом и, возможно, действовал по заданию вьетнамских властей или заинтересованных групп.
В апреле 2023 года Лаборатория Amnesty International по вопросам безопасности заметила, что тот же пользователь @Joseph_Gordon16 начал атаковать нескольких учёных и должностных лиц, занимающихся морскими вопросами, в частности исследователей и должностных лиц, которые отвечают за выработку политики ЕС и ООН касательно незаконного и незадокументированного вылова рыбы. Между тем в 2017 году Европейская комиссия выдала Вьетнаму «жёлтую карточку» за незаконную, незарегистрированную и нерегулируемую рыбную ловлю.
«Мы наблюдали десятки случаев того, как аккаунт @Joseph_Gordon16 вставлял вредоносную ссылку в публичные посты в соцсетях. Иногда она выглядела как ссылка на нормальный новостной сайт, например The South China Morning Post, чтобы притупить бдительность пользователя и убедить его нажать на неё, — сказал руководитель Лаборатории Amnesty International по вопросам безопасности Доннаха О’Кэрвил. — Наш анализ показал, что нажатие ссылки могло привести к заражению устройства пользователя программой Predator. Мы не знаем, были ли при этом инфицированы какие-то устройства, и не можем со стопроцентной уверенностью утверждать, что виновник атаки принадлежит к правительству Вьетнама. Однако интересы аккаунта и вьетнамских властей совпадают».
Мы наблюдали десятки случаев того, как аккаунт @Joseph_Gordon16 вставлял вредоносную ссылку в публичные посты в соцсетях. Иногда она выглядела как ссылка на нормальный новостной сайт, например The South China Morning Post, чтобы притупить бдительность пользователя и убедить его нажать на неё
Доннаха О'Кэрул, руководитель Лаборатории Amnesty International по вопросам безопасности
В ходе расследования также выяснилось, что одна из компаний из альянса Intellexa в начале 2020 года подписала контракт на миллионы евро, предполагавший поставку Министерству общественной безопасности Вьетнама «решений по инфицированию» (так называемый проект «Удильщик»). Документы и данные об экспорте также подтвердили продажу программы-шпиона Predator министерству через компании-посредников.
«Мы считаем, что инфраструктура атак при помощи Predator связана с неким субъектом во Вьетнаме, имеющим отношение к властям страны», — отметили в беседе с Amnesty International исследователи в области безопасности из компании Google, которые независимо анализировали вредоносные ссылки.
Регулируемое законодательством ЕС шпионское ПО свободно ходит по миру
Программа Predator может также применяться для «атак с нулевым кликом», то есть она может проникать в устройство без нажатия пользователем по ссылке. Это может делаться, например, путём «тактических атак», когда инфицируются расположенные поблизости устройства. Чрезвычайно инвазивное шпионское ПО сейчас не может быть ни подвергнуто независимому аудиту, ни ограничено в функционале. Поэтому расследовать нарушения, связанные с его использованием, очень сложно.
Расследованием выявлено присутствие продуктов альянса Intellexa как минимум в 25 странах Европы, Азии, Ближнего Востока и Африки. В нём задокументировано, как они применяются для посягательств на права человека, свободу прессы и общественные движения по всему миру.
В альянс Intellexa входят корпоративные субъекты из разных стран, включая Францию, Германию, Грецию, Ирландию, Чехию, Кипр, Венгрию, Швейцарию, Израиль, Северную Македонию и Объединённые Арабские Эмираты (ОАЭ). Amnesty International призывает все эти государства немедленно отозвать все маркетинговые и экспортные лицензии, выданные альянсу Intellexa. Эти государства также должны провести независимое, беспристрастное и прозрачное расследование, чтобы установить масштабы незаконных атак.
«Альянс Intellexa утверждает, что базируется в ЕС и работает по его законам, и это само по себе свидетельствует о неспособности государств — членов ЕС и их институтов предотвращать расползание таких средств для слежки, несмотря на серию расследований, в том числе в отношении проекта Pegasus в 2021 году. Причём, как показывает новейшее расследование, даже сами должностные лица ЕС и его собственные институты на этот раз попались в расставленные сети», — заключила генеральный секретарь Amnesty International Аньес Калламар.
Альянс Intellexa утверждает, что базируется в ЕС и работает по его законам, и это само по себе свидетельствует о неспособности государств — членов ЕС и их институтов предотвращать расползание таких средств для слежки, несмотря на серию расследований, в том числе в отношении проекта Pegasus в 2021 году
Аньес Калламар, генеральный секретарь Amnesty International
В ходе расследования в отношении программы-шпиона Predator установлено, что продукция альянса Intellexa продавалась по крайней мере 25 странам, включая Швейцарию, Австрию и Германию. Кроме того, его клиентами были Конго, Иордания, Кения, Оман, Пакистан, Катар, Сингапур, ОАЭ, Вьетнам.
Альянс Intellexa должен прекратить производство и продажу программы Predator и любых других столь же инвазивных шпионских программ, которые не предусматривают технических средств для обеспечения законности их применения в соответствии с нормативно-правовой базой в области прав человека. Кроме того, он должен выплатить надлежащие компенсации пострадавшим от незаконной слежки или иным образом эффективно возместить причинённый вред.
Проведённый Amnesty International анализ актуальной технической инфраструктуры, связанной с системой Predator, показывает, что в той или иной форме её активность присутствует в Анголе, Египте, Монголии, Казахстане, Индонезии, на Мадагаскаре, в Судане, Вьетнаме и других странах. Amnesty International выпустила индикаторы скомпрометированности, чтобы технические специалисты могли выявлять подобное шпионское ПО и реагировать на него.
Организация Amnesty International обратилась за комментариями ко всем вовлечённым лицам, но не получила ответа. Журналистскому объединению EIC, однако, удалось получить ответ от основных акционеров и бывших руководителей группы Nexa. Они утверждают, что альянс Intellexa прекратил своё существование. Применительно ко Вьетнаму, по их словам, единственная выполненная группой Nexa часть договора касалась кибербезопасности. В своём ответе они отметили, что входившие в альянс Intellexa компании «строго подчинялись экспортному регулированию», признав при этом, что у них имелись «коммерческие отношения» со странами, «которые далеко неидеальны с точки зрения принципа верховенства права», но это было зачастую производной от «политического выбора» французского правительства.
Организация Amnesty International направила письмо в Министерство общественной безопасности Вьетнама, но не получила ответа.
Полный текст доклада: ‘The Predator Files: Caught in the Net’ («Программа-шпион Predator. В сетях хищника»).